JSAC2026 開催レポート~DAY 1~
JPCERT/CC は、2026年1月21日から23日にかけてJSAC2026を開催しました。 本カンファレンスは、セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する知見を共有して技術力の底上げを図ることを目的に開催しています。 今回が9回目となるJSACですが、本年度は新たな取り組みとしてトレーニングを追加し、計3日間開催しました。 講演については、2日間で17件の講演、3件のワークショップ、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。 JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。
第1回は、DAY 1 Main Trackの講演についてです。
The Betrayed Update: Beyond the Signpost
講演者:伊藤忠サイバー&インテリジェンス株式会社 山本 高弘
山本 高弘氏は、脅威アクター「Tropic Trooper」によって実行された正規アプリのアップデートを契機に発生したインシデントをもとに、原因究明までの調査手順と得られた教訓について共有しました。
調査当初は攻撃者による水平展開やサプライチェーン攻撃が疑われましたが、ログを分析することで、正規アプリケーションの更新先を指し示す構成情報がすり替えられ、不正な更新先へ誘導されていたことを突き止めたと言及しました。 さらに、複数事例に対して分析を行ったところ、特定のホームネットワークに接続したときのみ現象が再現する共通点が見つかり、端末ではなくネットワーク側に原因があることが判明したと解説しました。 その後、端末へのセンサー導入や調査スクリプトから取得した情報を分析した結果、ホームルーターが参照するキャッシュDNSサーバーに不審なIPアドレスが設定されることで名前解決結果が改ざんされ、特定ドメインのみが偽のアップデートサーバーへ接続され、そこから偽の構成情報のダウンロードを経て最終的にマルウェアが配布・実行されるという一連の流れを示しました。
最後に、対策としてフルトンネルVPN等を用いた信頼されているDNSサーバーへの参照の強制やDNSハイジャッキングに耐性のあるDNS over TLS(DoT)やDNS over HTTPS(DoH)の使用、そして端末側の検知や監視の重要性を挙げ、インシデント分析では事象の結果だけでなく構造と攻撃者の意図を念頭において分析を行うことで有益なインテリジェンスになると結論付けました。
Knife Cutting the Edge: Dissecting A Gateway Surveillance & MitM Framework
講演者:Cisco Talos Chi-en "Ashley" Shen
Chi-en "Ashley" Shen氏は、ルーターや各種エッジデバイスが監視や諜報を目的とするキャンペーンで重要な攻撃対象となっていることを踏まえ、ゲートウェイ上のエッジデバイスで動作するトラフィック検査・改ざん等を可能にするフレームワークについて講演しました。 本講演は、TLP:REDとなっているため、詳細については割愛いたします。
The Return of Old Forces: Revealing New Campaigns Connected to A Missing Cyber Mercenary Firm
講演者:TrendMicro Joseph Chen
Joseph Chen氏は、中国企業「i-Soon」との関連が指摘される「Earth Lusca」および「Earth Krahang」による活動について講演しました。 i-Soonは2024年2月に内部資料が流出し、同社が諜報活動や政府機関との関係を有していた可能性が示唆されたことで注目を集めました。関連が指摘される両アクターの活動がリーク後に沈静化した一方、2025年に再稼働した可能性があると説明しました。
2024年10月ごろから観測された「PONDSNAKE」キャンペーンは、政府機関に加え、保険・証券など金融分野を標的としたものであり、初期侵害は公開サーバーの脆弱性を悪用した攻撃やスピアフィッシングメールを起点としており、侵入後にSnakeC2、OneDrive/Microsoft Graph APIをC2に悪用するNEOBEACON、Cobalt Strike、VShell、SoftEther VPNなどを展開したと解説しました。SnakeC2亜種の利用、侵害済み政府サイトの悪用といった共通点を根拠に「Earth Krahang」への帰属は中〜高確度と評価されると言及しました。
また、2025年5月ごろに観測された「WILYCODE」キャンペーンは、政府・教育機関・病院を標的とし、公開サーバーの脆弱性を中心にReact2Shell(CVE-2025-55182)等を用いて攻撃が実施されたと説明しました。加えて、攻撃者はオープンソースのハッキングツールも併用しつつ、HyperBro Launcherを介してCobalt StrikeやVShellを実行したと言及しました。本キャンペーンの帰属は、HyperBro LauncherやC2プロファイルの重なりはあるものの、観測されたTTPの多くが一般的であることから、「Earth Lusca」への帰属は低確度と結論付けたと述べました。
最後に、過去ツールの再利用と新要素の追加が並走する状況では、単一の痕跡に依存せず、複数の独立した証拠を積み上げて判断すべきだと総括しました。
Attribution in Action: A Case Study of an Incident Involving Multiple Activity Clusters
講演者:Palo Alto Networks 原 弘明、Doel Santos
原 弘明氏とDoel Santos氏は、単一組織のインシデントで3つの異なる活動クラスターが同時期に活動していた事例をもとに、観測事実から段階的にアトリビューションを進める手法を解説しました。
クラスターの一つである「CL-STA-1048」は、RawCookie、EggStreme Loader、Gorem RAT、Masol RATなどを用いた侵害を行っていたと言及し、「Earth Estries」など既知グループとの関連性に触れつつも、確度は低いと評価しました。
次に、「CL-STA-1049」では、Hypnosis LoaderによるDLL Proxy-Sideloadingを起点にFluffyGh0stなどを展開する流れを示し、ツールの重複を根拠に「Unfading Sea Haze」との強い関連性を示しました。
さらに、「Stately Taurus」は、HIUPANやUSBFect、USBで拡散するPUBLOAD、CoolClient系のツールを取り上げ、PUBLOADとCoolClientの直接的な実行連鎖は確認できない一方で、難読化技法の一致からコードベースレベルのつながりを示唆しました。
最後に、情報源の信頼性と情報の確からしさを分けて評価する枠組みを用いてアトリビューションを行う取り組みを紹介しつつ、複数のAPTグループ間の綿密な連携によってキャンペーンが実施されるPremier Pass-as-a-Serviceの傾向と、組織内で帰属判断プロセスを再確認する重要性について強調しました。
Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data
講演者:Trend Micro Nick Dai、Sunny W Lu
Nick Dai氏とSunny W Lu氏は、東南アジアの政府や通信分野を狙うAPTグループ「Earth Kurma」の調査結果を発表しました。初期侵害は脆弱なWebサーバーを起点とし、探索・横展開を進めた上で、環境に応じて複数のツール群を使い分けて永続化と検知回避を図る点が特徴だと整理しています。
永続化では、ルートキット/バックドア/ローダーを複合的に投入しており、「MMLOAD」はリフレクティブローディングで段階的に展開します。「KRNRAT」はユーザーモードのエージェントをsvchost.exeへインジェクションしてメモリへの展開を維持し、「MORIYA」は新しいインジェクション方法とEDR回避のための手法が示されました。さらに、「DOWNBEGIN」のCisco Webex版では複数のミーティングルームを用途別のC2チャネルとして悪用する点が紹介されました。
情報の持ち出しについては、PowerShellによる収集・圧縮に加え、OneDrive(ODRIZ)、Dropbox(SIMPOBOXSPY)、Cisco Webex(SIMPOWEBEXSPY)など正規クラウドサービスを攻撃者が悪用し、侵害の痕跡を目立たせなくする戦術が挙げられています。加えて、分散ファイルシステムも展開・持ち出しの両面で悪用される点も強調されました。 最後に、Earth Kurmaが使用したTTPに対して、未承認アプリのクラウド通信監視、社内の大容量通信や異常経路の分析、信頼されていないドライバー導入の抑止を対策として提案しました。
進化を続けるTianwuのマルウェアPangolin8RATおよびカスタムCobalt Strike Beacon
講演者:株式会社インターネットイニシアティブ 高山 尚樹
高山 尚樹氏は、中国系APTグループ「Tianwu」に関連付けられるマルウェア群のうち、「Pangolin8RAT」とカスタムCobalt Strike Beaconの継続的な進化を報告しました。
2025年9月にVirusTotalへ投稿されたサンプルを起点に、regsvr32.exe等の正規プロセスによって「CoreX Loader」が読み込まれ、リソースに埋め込まれたデータをXORとAESを用いて復号し、最終的にPangolin8RAT本体をメモリ展開する一連の実行チェーンを整理しました。 Pangolin8RATはプラグイン取得による機能拡張を前提とした設計であり、ログや一部データが再起動後に削除されるなど、痕跡を残しにくい点が特徴的だと解説しました。 また、NutstoreのWebDAV悪用、HTTPS通信における独自構造のCookie利用、Hostヘッダー差し替えによる通信先の隠蔽といった通信面の特徴も取り上げました。さらに、文字列難読化の強化、RTTI抑制、特定プロセス検知時に設定データをXOR化する仕組みなど、検知回避の進化点を示しました。
Beacon側についても、スリープマスク用BOFの組み込みや設定エンコード方式の変更といった改良が確認された一方、ヘッダーに旧C2情報が残存するなど過去設定を示唆する運用上の痕跡から、開発・運用の実態を推定しました。
最後に、活動は2022年以降も継続しつつ、少なくとも2024年10月ごろから活動を再開した可能性があるとして、YARA/SigmaルールおよびIoCの共有を通じた継続監視の重要性を総括しました。
Incident Response at the Edge: Unmasking the Massive Exploitation of Ivanti
講演者:TeamT5 Greg Chen、Sharon Liu
Greg Chen氏とSharon Liu氏は、Ivanti Connect Secure(ICS)などのVPN/ゲートウェイ製品に対する大規模な攻撃キャンペーンを題材に、エッジ機器におけるインシデント対応と調査手法を解説しました。 はじめに、キャンペーンの概要としてSPAWNファミリーを伴う侵入として把握した被害は170台にのぼり、25地域に分布し、日本・台湾・韓国・米国で多く観測されたと報告しました。
次に、Ivanti Connect Secureの調査上の制約として、システム領域が暗号化されていること、管理がGUI中心でログやファイルを確認しにくいこと、そしてベンダー提供の整合性チェックツールの結果に依存しやすいことを整理しました。その上で、リモートデバッグ等のベンダー支援による解析、ディスクイメージを復号してのオフライン解析、さらにラボ環境に限ってSSH管理コンソールを用いた検証を提示しました。また、不審バイナリの特定においては、整合性検査のハッシュ照合だけに頼らず、タイムスタンプの外れ値、静的/動的リンク方式の差、ELFのメタ情報などを併用した検出の有効性を示しました。
最後に、攻撃チェーンはCVE悪用を起点に、TLSトラフィックをフックしてハイジャックするインメモリ型バックドア「TextDoor」、SPAWNファミリーによる永続化、「DebtTheft」による認証情報窃取へと連鎖すると整理しました。加えて、整合性検査の回避を前提に、プロトコル分析やネットワークシグネチャを用いて未知の被害を探索する重要性を強調しました。
Infrastructure-less Adversary: C2 Laundering via Dead-Drop Resolvers and the Microsoft Graph API
講演者:Cycraft Wei-Chieh Chao、Shih-Min Chan
Wei Chieh Chao氏とShih Min Chan氏は、台湾の政府機関および製造業を標的とする中国系の国家支援型アクターの事例をもとに、攻撃者が独自インフラを前面に出さず、正規の通信基盤を悪用してC2通信を成立させる「インフラレス」手口について解説しました。
事例として用いられたインシデントでは、フィッシングを通して侵入した後、AD CSの設定不備等を背景に権限昇格を行った後に横展開を実施し、SoftEther VPNなどのリモート接続基盤を設置した上で、Microsoft Graph API、Cloudflare背後のC2、さらに侵害された公開Webサイトを「デッドドロップ」となっているリゾルバーとして併用したと言及しました。また、ADログオンスクリプトを短時間だけ改ざんして全端末へ配布・実行し、その後すぐに元へ戻すことで検知を回避する点を強調しました。解析では三つのマルウェアを取り上げ、GRAPHBROTLI/GRAPHRELOOKがMicrosoft Graph APIをC2に転用し、Outlook APIをC2通信に使用する点や、RCREMARKがCloudflare背後のC2と通信し、HTMLコメントに埋め込まれた命令を取得してコマンドを実行する点について解説しました。
最後に、結論として、短時間の改変と正規基盤の悪用のためブロックリスト中心の防御は機能しにくく、ログオンスクリプトの保護・監視と、クラウドAPI/Webアクセスを含む通信の監視が重要だと総括しました。
Konni’s New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation
講演者:株式会社ラック 松本 拓馬、石川 芳浩
松本 拓馬氏と石川 芳浩氏は、北朝鮮系の脅威アクターとされる「Konni」に関連する活動として、2025年2月以降に確認されたAutoIt製RAT「GSRAT」を用いた攻撃を解説しました。2025年5月には、国内金融機関に関連する組織を標的に、関連会社を装うスピアフィッシングでリンクを送付したと報告しました。
スピアフィッシングによりダウンロードされたZIP内の文書ファイルを装ったショートカットファイルを起点に、LNK内の難読化スクリプトが実行されてデコイを表示します。同時に追加ファイルを取得して展開し、VBSおよびBATを経由してAutoItを実行したと説明しました。さらに、スタートアップフォルダーへの登録とスケジュールタスクの作成によって永続化し、コンパイル済みAutoItスクリプトに埋め込まれたGSRATがC2と通信して遠隔操作を行う流れを示しました。
また、AutoItの特徴として、WindowsのGUI自動化やAPI呼び出し能力を備え、単体で実行形式にコンパイルできるため依存が少なく比較的軽量である点を整理しました。あわせて、近年多く確認されているEA06形式を含むエンコードの特徴と抽出手法を紹介しました。GSRATは端末固有情報から生成した識別子とバージョンを送信し、リモートシェル、ファイル送受信、列挙、削除、実行などの基本機能を提供しており、亜種では通信のJSON化や区切り文字の導入などの改変も確認されたと述べました。
最後に、Custom Lilith RATからGSRATへの移行やインフラ運用の特徴を根拠にKonniとの関連を示し、検知としてYARA/Sigmaルールの活用、AutorunsとEDRによる監視に加え、AppLockerやWDACで署名情報を用いてAutoIt実行を制限する重要性を総括しました。
おわりに
今回はJSAC2026の1日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、2日目に行われた講演について紹介します。
インシデントレスポンスグループ 亀井 智矢
